文丨鋒科技(ID:feng_keji)
說到近期討論熱烈的互聯(lián)網大事����,QQ一定榜上有名。
1月15日����,知名開發(fā)者社區(qū)V2EX出現(xiàn)了一篇帖子,發(fā)帖人@mengyx表示����,電腦上裝載的安全軟件“火絨”攔下了QQ的讀取操作,而QQ的讀取目標��,竟然是Edge瀏覽器的歷史記錄���。
V2EX原帖內容
此帖一出��,輿論嘩然����,多個用戶通過場景復現(xiàn)后發(fā)現(xiàn)���,遭到QQ“毒手”的瀏覽器��,并不只有Edge一家:Chrome���、360�����、獵豹等國內知名瀏覽器的歷史記錄都會被QQ讀取��,并且會對用戶的瀏覽網址進行分類����。
除了QQ外���,很多工作黨使用的即時通訊軟件TIM也出現(xiàn)了類似情況��,并且已經持續(xù)了一年多���。值得慶幸的是,多名開發(fā)者在深扒代碼后表示����,目前QQ尚未裝載將記錄上傳的功能,也不會讀取歷史記錄的具體內容���。
對此���,QQ團隊也正式發(fā)布公告稱,QQ檢索瀏覽器記錄是為了檢測一些惡意網站����,從而讓用戶不會受到與之相關的偽造QQ客戶端的困擾。對于QQ訪問用戶數據不規(guī)范的行為��,QQ團隊特地向大眾致歉�����,在后續(xù)推送的新版本中�,QQ將更換惡意網站的監(jiān)測手段,并將原有方案移除�����。
從火絨安全工作室公布的后續(xù)代碼解析中�,我們也看到目前QQ和Tim的新版本(QQ版本號:9.4.2.27666,Tim版本號:3.3.0.21972)已經移除了獲取瀏覽器歷史記錄的相關代碼邏輯�����。
關于隱私的“烏龍”
其實,騰訊軟件疑似侵犯隱私的操作已不是第一次�。2018年,不少手機廠商推出了彈出式攝像頭手機��,但用戶發(fā)現(xiàn)�,當他們使用QQ瀏覽器瀏覽某些網頁時,vivo NEX等手機就會無故彈出攝像頭��。
圖片來源:品玩
在面對大量用戶的質疑后�����,QQ瀏覽器團隊解釋稱�����,部分網頁的訪問需要確認手機攝像頭等硬件數據(例如獲取攝像頭信息并檢測攝像頭是否可用)�����,從而觸發(fā)了彈出式手機的相機彈出機制��。
后來��,知名開源軟件Telegram也遇到了這一問題��,根據Telegram的代碼顯示����,QQ瀏覽器團隊的解釋是對的,這本質上是谷歌沒有及時升級API的結果��,QQ瀏覽器的嫌疑就此洗清���。在之后,vivo也向用戶推送了“二次拍照確認”的更新補丁���,隱私之爭從此落下帷幕�����。
可以看到���,QQ瀏覽器的“彈出”案例此次的瀏覽器事件很相似:開發(fā)團隊出于安全/保障軟件正常運行的原因,對用戶部分機內數據進行了調用分析��,在圍觀群眾看來,這成了他們調用信息的鐵證���。直到代碼解析結果出爐��,大家才真相大白��。
此次也是一樣�����,通過代碼解析后發(fā)現(xiàn)�����,雖然QQ會自動提取用戶的瀏覽鏈接并進行網站分類���,但它并沒有向服務器上傳相關信息。從安全角度來看�,QQ團隊所做的鏈接提取和關鍵詞分析功能是合理的,因為一些熱詞(股票��、融券��、融資等)確實是惡意網站的植入重災區(qū)。
雖然小雷本想總結稱,這是QQ和群眾之間的一次美麗誤會����,但在這個隱私時代下,事情似乎并沒有那么簡單�。
瀏覽記錄有什么用?
雖然QQ并沒有針對用戶搜索的具體內容進行分析�����,但你瀏覽網頁的時間�、頻次和關鍵詞��,也是互聯(lián)網數據“用戶畫像”的重要組成方式�����。早在電商時代��,用戶畫像這一分析手段就被廣為運用�,如今互聯(lián)網巨頭言必稱大數據,用戶畫像成為了每個巨頭都關心的核心數據。
用戶畫像是真實用戶的虛擬代表,是建立在一系列真實數據之上的目標用戶模型�����,用戶的性別年齡�、社會身份、位置數據等都是用戶畫像的一部分��。
目前����,許多應用(微信、抖音��、百度App����、淘寶)的隱私政策都明確規(guī)定,你在應用生成的瀏覽信息��、關鍵詞等數據��,應用廠商有權進行采集和分析���。你收到的購物推薦�����、新聞推送乃至垃圾廣告�����,都離不開這些互聯(lián)網巨頭的畫像采集���。
舉個例子�,從你訪問購物網站的種類和頻次�����,其實可以推斷出你的作息時間�����、消費檔次和消費特征����。假設騰訊真的希望用QQ來校準用戶畫像的話��,那么QQ將瀏覽記錄根據網址和關鍵詞分門別類地進行整理也就不足為奇了�,這些數據都是用戶畫像的重要依據。
圖片來源:CleverTap
而比用戶畫像更麻煩的,則是近幾年興起的“數字指紋”信息檢索�����。在傳統(tǒng)的用戶儲存文檔Cookie受到讀取限制后�����,互聯(lián)網廠商開始采用更為便捷的手段來給用戶分類�����。根據設備型號�、系統(tǒng)版本、瀏覽器版本和屏幕字號等信息�,廠商可以將信息到用戶個體,完成匹配度更高的身份識別�。
雖然如今很多硬件制造商和瀏覽器廠商開始混淆用戶版本,拉低數字指紋的性�,但由于目前很多桌面應用都沒有沙盒化運行,瀏覽記錄反而成為了更簡單的工具�。你的訪問頻度、訪問時段和訪問門類構成的數據組合��,已經能有效篩除掉大多數無關用戶�����,實現(xiàn)從設備到人的用戶匹配。
我們該怎么做�����?
雖然在互聯(lián)網時代��,普通用戶的隱私保護程度節(jié)節(jié)后退����,但僅就QQ事件來說,我們也并非沒有應對手段���。在Windows平臺上�,我們可以通過安全軟件的規(guī)則定義功能����,限制應用的文件檢索范圍,并選擇性中斷應用和部分服務器的數據連接�,保證隱私安全�����。
而在Mac平臺上,我們也擁有專門為沙盒化應用定制的Mac Apple Store����。雖然如今不少Mac應用都會在官網上推出下載版,但Mac版官方應用才是安全的選擇�,在蘋果的隱私審查下,這些蠢蠢欲動的開發(fā)者也只能死心����。
不過從宏觀層面上講,法律才是的隱私守護神�。歐洲于2018年出臺的GDPR法案和我國去年十月公布的《個人信息保護法(草案)》中,都明確規(guī)定了互聯(lián)網瀏覽記錄符合個人信息的法律范疇��,針對瀏覽歷史的不規(guī)范訪問行為或將徹底終結�,QQ團隊的這一“失誤”,在未來不會成為常態(tài)��。
網絡警察提醒你
中國互聯(lián)網舉報中心
網絡舉報APP下載
掃黃打非網舉報專區(qū)